futuremix

asahi.com： データベースを攻撃、外部から支配　カカクコムＨＰ事件 によると、価格.com が改竄された事件は、OS の欠陥を利用されたものではなく、SQL インジェクションによる攻撃だったと発表されたそうです。

　関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「ＳＱＬ」で操作する。今回の攻撃は「ＳＱＬインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。

SQL インジェクションだけで静的な HTML に iframe 要素などのタグが書き込まれたということなのでしょうか。だとすると XSS の欠陥もあったと言えるのではないでしょうか。静的な HTML は SQL のトリガーか何かで吐き出される仕組みだったのでしょうかね。

これまでのサイト攻撃は、ＯＳの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

えーと。SQL インジェクションを許したのであれば、それはプログラムの欠陥だと思うのですが。一度「最高レベルのセキュリティ」などと公言してしまいましたから、プログラムのミス、欠陥とは言いたくないのでしょうけど。